Анализ инцидента кражи закрытого ключа пользователей Solana с помощью вредоносного NPM-пакета
В начале июля 2025 года один из пользователей Solana обратился в команду безопасности с просьбой о помощи, сообщив, что его криптоактивы были украдены после использования одного из открытых проектов на GitHub. В ходе расследования было установлено, что это была атака, использующая вредоносный пакет NPM для кражи закрытых ключей пользователей.
Ход событий
Жертва использовала проект GitHub под названием solana-pumpfun-bot, который кажется нормальным и имеет высокое количество звезд и форков. Однако обновление кода проекта произошло всего три недели назад, что указывает на отсутствие постоянного обновления.
Дальнейший анализ показал, что проект зависел от подозрительного стороннего пакета crypto-layout-utils. Этот пакет был снят с официального NPM, и у указанной версии нет исторических записей. Оказалось, что злоумышленник изменил файл package-lock.json, указав ссылку на скачивание зависимого пакета на свой контролируемый репозиторий GitHub.
Анализ вредоносных пакетов
Команда безопасности загрузила и проанализировала подозрительный пакет crypto-layout-utils-1.3.1, обнаружив, что его код сильно замаскирован. После декодирования было подтверждено, что это вредоносный NPM пакет, который сканирует чувствительные файлы на компьютере пользователя и, если находит содержимое, связанное с кошельками или Закрытыми ключами, загружает его на сервер злоумышленника.
Способы атаки
Атакующие могли контролировать несколько аккаунтов GitHub для распространения вредоносных программ и повышения популярности проектов. Они маскировались под легитимные открытые проекты, заставляя пользователей загружать и запускать Node.js код с вредоносными зависимостями, тем самым крадя Закрытый ключ.
Кроме того, обнаружен еще один вредоносный пакет bs58-encrypt-utils-1.0.3, предполагается, что атаки могли начаться в середине июня 2025 года.
Направление средств
С помощью инструментов анализа на блокчейне было обнаружено, что часть украденных средств была переведена на одну из торговых платформ.
Рекомендации по безопасности
Будьте осторожны с проектами на GitHub, источники которых неизвестны, особенно с проектами, связанными с операциями с кошельками.
При необходимости запускать и отлаживать неизвестные проекты в изолированной среде.
Разработчики должны внимательно проверять сторонние зависимости, остерегаться подозрительных пакетов или ссылок для скачивания.
Регулярно проверяйте и обновляйте зависимости проекта, своевременно удаляйте компоненты с потенциальными уязвимостями.
Используйте надежные инструменты безопасности для регулярного сканирования кода проекта, чтобы рано выявить потенциальные угрозы.
Это событие еще раз показывает, что злоумышленники постоянно разрабатывают новые методы и атакуют открытые экосистемы. Разработчики и пользователи должны повысить свою безопасность и совместно поддерживать здоровую открытую среду.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
4
Репост
Поделиться
комментарий
0/400
GateUser-40edb63b
· 10ч назад
ловушка формула вывода обман не новость
Посмотреть ОригиналОтветить0
MidnightSeller
· 10ч назад
Да, ты прав, брат.
Посмотреть ОригиналОтветить0
PumpStrategist
· 10ч назад
Рынок уже подал сигналы, и уроки, полученные безвозмездно, не запоминаются надолго.
Эко-система Solana снова столкнулась с кражей закрытых ключей: вредоносный пакет NPM маскируется под открытый исходный код.
Анализ инцидента кражи закрытого ключа пользователей Solana с помощью вредоносного NPM-пакета
В начале июля 2025 года один из пользователей Solana обратился в команду безопасности с просьбой о помощи, сообщив, что его криптоактивы были украдены после использования одного из открытых проектов на GitHub. В ходе расследования было установлено, что это была атака, использующая вредоносный пакет NPM для кражи закрытых ключей пользователей.
Ход событий
Жертва использовала проект GitHub под названием solana-pumpfun-bot, который кажется нормальным и имеет высокое количество звезд и форков. Однако обновление кода проекта произошло всего три недели назад, что указывает на отсутствие постоянного обновления.
Дальнейший анализ показал, что проект зависел от подозрительного стороннего пакета crypto-layout-utils. Этот пакет был снят с официального NPM, и у указанной версии нет исторических записей. Оказалось, что злоумышленник изменил файл package-lock.json, указав ссылку на скачивание зависимого пакета на свой контролируемый репозиторий GitHub.
Анализ вредоносных пакетов
Команда безопасности загрузила и проанализировала подозрительный пакет crypto-layout-utils-1.3.1, обнаружив, что его код сильно замаскирован. После декодирования было подтверждено, что это вредоносный NPM пакет, который сканирует чувствительные файлы на компьютере пользователя и, если находит содержимое, связанное с кошельками или Закрытыми ключами, загружает его на сервер злоумышленника.
Способы атаки
Атакующие могли контролировать несколько аккаунтов GitHub для распространения вредоносных программ и повышения популярности проектов. Они маскировались под легитимные открытые проекты, заставляя пользователей загружать и запускать Node.js код с вредоносными зависимостями, тем самым крадя Закрытый ключ.
Кроме того, обнаружен еще один вредоносный пакет bs58-encrypt-utils-1.0.3, предполагается, что атаки могли начаться в середине июня 2025 года.
Направление средств
С помощью инструментов анализа на блокчейне было обнаружено, что часть украденных средств была переведена на одну из торговых платформ.
Рекомендации по безопасности
Будьте осторожны с проектами на GitHub, источники которых неизвестны, особенно с проектами, связанными с операциями с кошельками.
При необходимости запускать и отлаживать неизвестные проекты в изолированной среде.
Разработчики должны внимательно проверять сторонние зависимости, остерегаться подозрительных пакетов или ссылок для скачивания.
Регулярно проверяйте и обновляйте зависимости проекта, своевременно удаляйте компоненты с потенциальными уязвимостями.
Используйте надежные инструменты безопасности для регулярного сканирования кода проекта, чтобы рано выявить потенциальные угрозы.
Это событие еще раз показывает, что злоумышленники постоянно разрабатывают новые методы и атакуют открытые экосистемы. Разработчики и пользователи должны повысить свою безопасность и совместно поддерживать здоровую открытую среду.